Nous vivons dans un monde où le mobile est roi. Les applications mobiles sont devenues omniprésentes dans nos vies. Nous les utilisons pour consulter nos portefeuilles d'investissement, commander des repas et même trouver des partenaires. 

Mais alors que nous dépendons de plus en plus de ces applications pour gérer notre vie personnelle et professionnelle, les entreprises ont du mal à prévenir les cyberattaques provenant de l'application et des milliards d'appareils qui y sont connectés. Cela signifie que toute organisation cherchant à attirer les clients d'aujourd'hui et de demain doit offrir une expérience mobile bien protégée.

Les pirates, souvent des bandes de cybercriminels disposant de ressources importantes, reconnaissent que les applications mobiles constituent une porte d'entrée dans l'entreprise. Conscientes de ce risque, les entreprises recherchent de plus en plus des solutions pour sécuriser et protéger leurs applications mobiles.

L'expression "sécuriser et protéger" n'a pas la même signification pour tout le monde. Par exemple :

  • Pour les RSSI, cela signifie que les applications mobiles de leur organisation ne doivent pas devenir un point d'entrée pour les acteurs de la menace afin d'accéder à leur infrastructure.
  • Pour les développeurs mobiles, cela signifie qu'un pirate ne peut pas procéder à une rétro-ingénierie de l'application pour voler tout le travail qu'ils ont accompli.
  • Pour le responsable de la conformité, cela signifie que les produits que son entreprise met sur le marché répondent aux exigences contractuelles et réglementaires de son secteur.
  • Pour l'utilisateur, cela signifie que ses données personnelles restent privées.
  • Pour le vice-président chargé du marketing, cela signifie que la réputation de sa marque ne sera pas détruite par une cyberattaque contre l'application mobile.

C'est là qu'il existe une gamme de technologies permettant de sécuriser et de protéger les applications mobiles. Dans cet article, nous allons examiner trois solutions de cybersécurité connexes qui peuvent aider les professionnels de la sécurité des applications à protéger leurs organisations contre les cyberattaques :

  1. Blindage de l'application
  2. Mobile Autoprotection des applications en cours d'exécution (RASP)
  3. Protection in-app

Ces termes sont souvent utilisés comme synonymes l'un de l'autre, mais il existe des différences subtiles.

App shielding vs RASP vs in-app protection

Blindage de l'application

L'app shielding est un processus qui consiste à injecter des mesures de sécurité dans une application mobile afin de rendre difficile l'accès et la compréhension du code de l'application par les attaquants. Cela permet à l'application de se conformer aux normes de sécurité de l'OWASP. OWASP Mobile Top 10 M8 (altération du code) et M9 (ingénierie inverse).

En d'autres termes, le bouclier applicatif consiste à "durcir" l'application, ce qui est généralement utilisé pour se protéger contre les attaques statiques, où l'attaquant a accès au code de l'application et tente de faire de l'ingénierie inverse ou d'exploiter les vulnérabilités. 

Le blindage des applications n'implique pas de technologie particulière. La solution peut être une technologie basée sur un "wrapper" (ce que Verimatrix ne recommande pas en raison du point de défaillance unique inhérent à ces approches) ou une approche qui intercale la protection avec la logique commerciale de l'application.

Les techniques couramment employées comprennent le cryptage du code, l'obscurcissement du flux de contrôle, les vérifications de l'environnement d'exécution, les vérifications de l'intégrité binaire et la cryptographie de la boîte blanche.

RASP

RASP est une technologie de sécurité intégrée à l'application elle-même. Elle consiste à surveiller l'environnement d'exécution de l'application afin de prévenir les attaques en temps réel. C'est pourquoi la partie "runtime" du nom définit l'objectif des solutions RASP. 

RASP est généralement utilisé pour se protéger contre les attaques dynamiques, où l'attaquant tente d'exploiter les vulnérabilités ou de manipuler le comportement de l'application au moment de l'exécution. Il s'agit d'observer l'application pendant qu'elle fonctionne et de rechercher des menaces contre sa protection et les données qu'elle contient.

Comme pour le bouclier applicatif, le RASP n'implique pas une technologie particulière, bien qu'une solution RASP typique déploie une technologie de surveillance d'exécution similaire au bouclier applicatif (contrôles environnementaux et protection de l'intégrité du code), mais l'augmente parfois d'un composant côté serveur pour fournir une surveillance supplémentaire. Cette surveillance supplémentaire est souvent appelée "attestation de dispositif".

Protection in-app

Toute protection mise en œuvre dans l'application elle-même est considérée comme une protection "in-app". Cela signifie que pour être véritablement considérée comme une protection in-app, la protection ne doit pas dépendre de l'appareil, du système d'exploitation ou du réseau. La protection doit être maintenue même lorsque l'application est isolée de l'appareil et/ou de l'internet par un acteur de la menace.

Lorsque des applications protégées sont exécutées sur des appareils non gérés, comme c'est le cas de toutes les applications mobiles grand public, les techniques de protection in-app sont cruciales, car le seul point de contrôle de sécurité dont nous disposons est l'application mobile elle-même.

Par exemple, une solution RASP avec un composant d'attestation de l'appareil nécessite une protection in-app pour ancrer fermement les composants d'attestation côté client. Sinon, il est facile pour un pirate de manipuler l'application pour falsifier les données d'attestation.

Pourquoi l'app shielding et le RASP sont-ils si importants dans le paysage numérique ?

Une idée fausse que les professionnels de la sécurité peuvent avoir à propos des solutions de sécurité telles que le RASP est qu'elles ne sont efficaces que contre les menaces et les attaques connues. Or, ce n'est pas le cas. 

RASP est capable de prévenir les menaces connues et inconnues en temps réel en surveillant l'environnement d'exécution de l'application et en recherchant toute activité suspecte ou malveillante. Cela signifie que même si un nouveau type d'attaque est découvert, RASP peut toujours le prévenir, ce qui en fait un outil puissant dans la lutte contre les cyberattaques.

En outre, le RASP est souvent complété pour fournir des informations précieuses et des données télémétriques qui peuvent être utilisées pour améliorer la sécurité globale de l'écosystème des applications.

Mais pourquoi est-il si important de mettre en place ces protections ? Les applications mobiles et les milliards d'appareils qui s'y connectent constituent aujourd'hui la menace la plus importante pour la sécurité des entreprises. 

Le nombre d'appareils mobiles utilisés en 2023 est d'environ 7 milliards. Tous ces appareils connectés à l'internet ont téléchargé et utilisé de nombreuses applications. Et ce nombre ne cesse d'augmenter. Cela signifie que le risque de cyberattaques augmentera également. En effet, McKinsey estime que les dommages causés par les cyberattaques s'élèveront à environ 10,5 billions de dollars par an d'ici 2025. Le bouclier des applications mobiles et le RASP peuvent être des éléments essentiels pour assurer la cybersécurité des applications mobiles.

Voici quelques exemples d'attaques réelles qui auraient pu être évitées si des solutions RASP ou de protection des applications avaient été mises en place :

WhatsApp

En 2019, un groupe de pirates a utilisé une application malveillante déguisée en application utilitaire légitime, WhatsApp, pour infecter les téléphones d'au moins 25 millions d'utilisateurs avec un logiciel malveillant. Le logiciel malveillant a été conçu pour voler des informations sensibles sur l'appareil de l'utilisateur, telles que les identifiants de connexion, les informations de carte de crédit, et plus encore.

Banques américaines/européennes

IBM Trusteer a rapporté qu'un dangereux groupe de pirates informatiques a utilisé un émulateur mobile pour usurper les appareils mobiles de clients bancaires afin de dérober des millions de dollars à des banques en Europe et aux États-Unis. Il a été supposé que les attaquants ont utilisé des émulateurs mobiles pour usurper des dizaines de milliers d'appareils compromis. Ils ont siphonné des données PII pour permettre aux émulateurs mobiles d'usurper des appareils légitimes. Les attaquants ont ensuite saisi les informations d'identification des comptes bancaires dans les applications pour créer de fausses méthodes de retrait.

Obtenez la version étendue de Threat Defense (XTD) pour une protection tout-en-un des applications.

Il existe sur le marché plusieurs fournisseurs de cybersécurité qui assurent la sécurité des applications mobiles, comme le RASP et l'app shielding, ou qui proposent le site threat defense pour les appareils gérés par les employés, mais peu de fournisseurs protègent les applications mobiles et défendent l'entreprise contre la myriade d'appareils non gérés alimentés par ces applications. 

Parmi les exemples de dispositifs connectés non gérés, on peut citer les smartphones des consommateurs, les tablettes de livraison de nuit, les terminaux de paiement, les appareils ménagers intelligents, les technologies de voiture sans clé, et bien d'autres encore.

Le RASP et l'app shielding offrent des mesures de sécurité axées sur la prévention des attaques statiques et dynamiques au niveau de l'application, et ils doivent être utilisés en conjonction avec d'autres solutions de cybersécurité telles que mobile threat defense, qui surveille les menaces au niveau de l'appareil non géré. Seul un ensemble complet de mesures de sécurité permet de se protéger contre un large éventail de cybermenaces.

Extended Threat Defense (XTD)une nouvelle solution de cybersécurité de Verimatrix, va au-delà de ces trois solutions pour fournir une solution de cybersécurité complète pour les applications mobiles des consommateurs.ose aller au-delà de ces trois solutions pour fournir une solution de cybersécurité complète pour les applications mobiles grand public. Cette solution comprend des techniques avancées de détection et de réponse aux menaces.

Verimatrix XTD aide les RSSI, les équipes SOC, les ingénieurs d'application et les développeurs d'applications mobiles à prédire, prévenir, détecter et répondre aux cyberattaques d'un nouveau type de risque mobile : les attaques provenant d'appareils non gérés qui sont alimentés par une application. Toute entreprise disposant d'une application est exposée à un risque.